진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정



1. 개요 


최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다.


이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. GandCrab 랜섬웨어의 변화

 

구분

특징

시기

초기 버전

 암호화 확장자명(.GDCB), 400개 확장자 암호화, 웹사이트 방문 시 감염

201802

2.0 버전

 암호화 확장자명 변경 (.CRAB), 40개 확장자 제외 모든 파일 암호화

201803

2.1버전

 암호화 완료 시 재부팅, 이메일로 지원서를 위장한 압축첨부파일 형태로 유포

201804

3.0버전

 이메일로 악성 URL 링크를 첨부한 형태로 유포

201805

[1] GandCrab 랜섬웨어 초기 버전부터 3.0 버전까지 변화





2-2. GandCrab 이전 버전 분석 정보

GandCrab3.0 버전을 이전 버전과 비교했을 때 종료하는 프로세스 목록이나 수집 정보 목록 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.


다시 돌아온 GandCrab Ransomware 감염 주의 : http://erteam.nprotect.com/1623

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 : http://erteam.nprotect.com/1661





2-3. GandCrab3.0 에서 달라진 점

GandCrab 랜섬웨어가 진화하면서 유포 방식에 조금씩 변화가 있었다. 이전 버전에서는 이메일을 통해 첨부된 파일을 실행하도록 유도하는 방식이었다면, 3.0 버전에서는 압축파일을 첨부하지 않고 이메일 본문의 ‘이력서를 첨부하였습니다.’ 부분에 악성 URL 링크를 연결시켜 클릭을 유도하고, 이 주소를 따라가보면 지원자 명의 압축파일을 다운로드 한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포



다운로드 된 압축파일 내부에는 이력서로 위장한 스크립트 파일(resume.js)이 존재한다.


[그림 2] 다운로드 된 압축파일[그림 2] 다운로드 된 압축파일



이 스크립트는 난독화 되어 있어 아래 [그림 3]과 같이 알아 볼 수 없는 문자열로 보인다. 이 악성 스크립트 파일을 실행할 경우 랜섬웨어 유포 페이지에 접속해 랜섬웨어를 다운로드 후 실행한다.


[그림 3] 난독화 된 악성 스크립트 파일[그림 3] 난독화 된 악성 스크립트 파일





2-4. 초기 버전과 3.0 버전의 비교

GandCrab의 초기 버전과 3.0 버전의 랜섬노트는 랜섬노트명과 버전의 차이, 그리고 안내문의 일부 내용이 바뀌었을 뿐 Tor 웹 브라우저를 이용하여 지불 사이트로 유도하는 내용은 대체로 유사하다.


[그림 4] GandCrab 초기 버전 랜섬노트[그림 4] GandCrab 초기 버전 랜섬노트



[그림 5] GandCrab 3.0버전 랜섬 노트[그림 5] GandCrab 3.0버전 랜섬 노트



 

 

초기 GandCrab

GandCrab3.0

공통점

특정 프로세스 종료 (msftesql.exe, sqlagent.exe 30개 이상 프로세스 종료)

자동 실행 레지스트리 등록

(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce)

사용자 정보 수집 (PC_USER, ip), 프로세스 정보 수집 (AVP.EXE, ekrn.exe)

차이점

유포 경로

Exploit Kit에 의해

취약한 웹사이트에 방문 시 감염

입사지원서나 교통범칙금으로

위장한 이메일로 유포

암호화 대상 파일 확장자

txt, doc, zip, xls, jpg

450개 확장자 암호화

exe, dll, lnk, ldf, CRAB

40개 확장자를 제외하고 모두 암호화

암호화 제외 파일명

desktop.ini, autorun.inf,

GDCB-DECRYPT.txt 등 총 9

랜섬 노트(CRAB-DECRYPT.txt) 를 제외하고 동일

암호화 제외 폴더

\ProgramData\,  \Program Files\ 등 총 7

\IETldCache\,  \Boot\ 추가

기타

 

암호화 완료 시 재부팅,

이동식 드라이브(USB) 감염

[2] GandCrab 랜섬웨어 초기 버전과 3.0 버전의 비교






3. 결론

최근 유포되고 있는 GandCrab 랜섬웨어는 주로 입사지원서나 교통범칙금으로 위장해 이메일로 유포되므로 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능









Posted by nProtect & TACHYON

새롭게 발견된 ‘Spartacus’ 랜섬웨어 감염 주의


1. 개요 


최근, ‘Spartacus’ 라는 이름의 새로운 랜섬웨어가 발견되었다. 해외 한 보안사이트에 의하면 "Spartacus 랜섬웨어의 코드가 Satyr, Blackheart 랜섬웨어와 거의 동일하다” 고 언급하고 있다. ‘Spartacus’ 랜섬웨어는 실행 시 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 암호화를 시도하며, 별도의 통신은 하지 않고 복호화를 빌미로 가상화폐를 요구한다.


이번 보고서에서는 새롭게 발견된 ‘Spartacus’ 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SF.exe

파일크기

96,768 byte

진단명

Ransom/W32.Spartacus.96768

악성동작

파일 암호화




2-2. 동작 방식

‘Spartacus’ 랜섬웨어는 최초 ‘CheckRunProgram’ 함수를 사용하여 자기 자신의 중복 실행을 확인한 후 단일 실행이      확인되면 지정된 경로와 논리 드라이브를 대상으로 암호화를 진행한다. 또한, 시스템 복원 기능을 무력화시키기 위해 볼륨   쉐도우 복사본을 삭제한다. 아래 그림은 ‘Mutex’ 함수를 통해 중복 실행을 방지하는 ‘Spartacus’ 랜섬웨어 코드의 일부이다.


[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드[그림 1] ‘Mutex’ 함수를 통한 중복 실행 방지 코드





3. 악성 동작


3-1. 파일 암호화

중복 실행에 대한 확인이 끝나면 아래 그림과 같이 ‘KeyGenerator.GetUniqueKey’ 함수를 통해 암호화에 사용할 AES 키를 생성한다. 또한, 암호화할 대상 경로를 변수에 저장하고 해당 경로의 파일을 암호화한다.


[그림 2] AES 키 생성 및 암호화 대상 경로 저장[그림 2] AES 키 생성 및 암호화 대상 경로 저장




그뿐만 아니라 아래와 같이 ‘Directory.GetLogicalDrives’ 함수를 사용하여 논리 드라이브를 검색하고 해당 드라이브 내의 파일 암호화를 시도한다. 단, 파일 암호화에 앞서 확장자 ‘.Spartacus’인 파일에 대해서는 암호화를 진행하지 않는다. 암호화가 완료된 파일은 원본 파일명 뒤에 ‘.[MastersRecovery@protonmail.com].Spartacus’를 붙여 파일명을 변경한다.



[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴[그림 3] 논리 드라이브를 대상으로 한 암호화 루틴



[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드[그림 4] 예외 확장자 ‘.Spartacus’를 확인하는 코드



[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일[그림 5] Spartacus 랜섬웨어에 의해 암호화된 파일




3-2. 시스템 복원 기능 무력화

또한, 시스템 복원 기능을 무력화하기 위해 윈도우 명령 처리기를 사용하여 볼륨 쉐도우 복사본을 삭제한다.


[그림 6] 볼륨 쉐도우 복사본 삭제[그림 6] 볼륨 쉐도우 복사본 삭제




3-3. 금전 요구


랜섬노트에는 파일이 암호화되었음을 안내하면서 복구하기 위해서는 생성된 ‘personal ID KEY’를 특정 이메일로 전송하고 가상화폐를 지급해야 한다는 내용이 담겨있다.


[그림 7] Spartacus 랜섬노트[그림 7] Spartacus 랜섬노트





4. 결론

새롭게 발견된 ‘Spartacus’ 랜섬웨어는 파일 암호화 및 시스템 복원 기능을 무력화시키는 비교적 단순한 형태의 랜섬웨어이다. 하지만 확장자 ‘.Spartacus’를 제외한 모든 확장자를 대상으로 파일을 암호화하고 있어 감염 시 피해가      클 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 윈도우 및 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 안전한 백업 시스템을 구축하여 중요한 자료는 별도로 보관해야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료를 할 수 있다.

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면




[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림8] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

2018년 4월 악성코드 통계




악성코드 Top20

2018년4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 275,216건이 탐지되었다. 

순위

진단명

유형

탐지 건수

1

Backdoor/W32.Orcus.9216

Backdoor

275,216

2

Virus/W32.Ramnit.B

Virus

53,941

3

Trojan-Dropper/W32.Inject.323584.D

Trojan

34,677

4

Trojan/W32.Agent.534016.BS

Trojan

10,291

5

Trojan/W32.Agent.3584.MQ

Trojan

7,925

6

Virus/W32.Ramnit

Virus

7,712

7

Suspicious/W32.CVE-2016-3266

Suspicious

5,511

8

Trojan/W32.Agent.100864.ZY

Trojan

4,577

9

Suspicious/SWF.CVE-2017-3081

Exploit

4,400

10

Virus/W32.Virut.Gen

Virus

3,946

11

Adware.GenericKD.4945692

Trojan

3,797

12

Suspicious/PDF.CVE-2017-16364

Suspicious

3,435

13

Trojan/XF.Sic

Trojan

3,368

14

Suspicious/X97M.Obfus.Gen

Suspicious

3,288

15

Gen:Variant.Mikey.31856

Trojan

2,957건  

16

Trojan-Spy/W32.SpyEyes.2270504

Trojan

2,843건  

17

Suspicious/XOX.Obfus.Gen

Suspicious

2,582건  

18

Adware/NetworkExpress.AA

Adware

2,581건  

19

Trojan/W32.Agent.4155788

Trojan

2,546건  

20

Gen:Variant.Graftor.311465

Trojan

2,435건  

[] 20184월 악성코드 탐지 Top 20










악성코드 유형 비율

4월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 53%로 가장 높은 비중을 차지하였고, Adware(애드웨어)와 Suspicious(셔스피셔스)가 각각 25%와 5%, Backdoor(백도어)와 Downloader(다운로더)가 각각 4%, 4%씩으로 그 뒤를 따랐다.


[그림] 2018년 4월 악성코드 유형 비율[그림] 2018년 4월 악성코드 유형 비율













악성코드 진단 수 전월 비교

4월에는 악성코드 유형별로 3월과 비교하였을 때 Adware와 Suspicious를 제외한 대부분의 진단 수가 증가하였다.


[그림] 2018년 4월 악성코드 진단 수 전월 비교[그림] 2018년 4월 악성코드 진단 수 전월 비교













주 단위 악성코드 진단 현황

4월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 3월에 비해 증가한 추이를 보이고 있다.


[그림] 2018년 4월 주 단위 악성코드 진단 현황[그림] 2018년 4월 주 단위 악성코드 진단 현황










Posted by nProtect & TACHYON

네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.

이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sts.exe

파일크기

30,208byte

진단명

Ransom/W32.Satan.30208

악성동작

파일 암호화





2-2. 동작 방식

이번 Satan 랜섬웨어 ‘sts.exe’는 실행과 동시에 두 개의 파일을 다운로드하고 실행하여 파일 암호화 및 네트워크 전파  기능을 수행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’가 붙고 확장자가 ‘.satan’으로 변경되며, 파일 암호화가 모두 완료되면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’ 랜섬노트를 띄워 가상화폐를 요구한다.





3. 악성 동작


3-1. 악성 파일 다운로드 및 실행

‘sts.exe’ 파일 실행 시 아래와 같이 특정 IP에서 ‘ms.exe’와 ‘client.exe’ 파일을 다운로드하고 실행시킨다. 각각의 실행 인자로 사용된 ‘-piamsatancryptor’와 ‘-pabcdefghijklmn’는 실행하는데 필요한 암호로 사용된다.


[그림 1] 파일 다운로드 및 실행 코드[그림 1] 파일 다운로드 및 실행 코드



[그림 2] 다운로드 후 실행된 ‘ms.exe’와 ‘client.exe’




3-2. 네트워크 통한 랜섬웨어 전파 시도

랜섬웨어 네트워크 전파를 위해 SMB 프로토콜 취약점 공격 도구인 이터널 블루를 사용하는데 이번 Satan 랜섬웨어에서 ‘ms.exe’ 파일이 그 동작을 수행한다. 아래 그림은 네트워크를 통해 랜섬웨어 전파를 시도하는 모습이다.


[그림 3] 랜섬웨어 네트워크 전파 시도[그림 3] 랜섬웨어 네트워크 전파 시도




3-3. 파일 암호화

다운로드 후 실행된 ‘client.exe’는 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’를 붙이고 확장자를 ‘.satan’으로 변경한다. 아래 암호화 대상 확장자 및 암호화된 파일에 대한 화면이다. 

 

구분

내용

암호화 대상 확장자

.asm, .asp, .aspx, .bak, .bat, .conf, .cpp, .cs, .dbf, .dmp, .doc, .docx, .frm, .inc, .ini, .jsp, .ldf, .mdf, .myd, .myi, .php, .ppt, .py, .rar, .sh, .sql, .txt, .vbs, .xls, .xlsx...

[1] 암호화 대상 확장자 목록


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

windows, python2, python3, microsoft games, boot, i386, ST_V22, intel,     dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windowsmail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user

[2] 화이트 리스트 폴더 문자열



파일 암호화를 모두 완료하면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’라는 이름의 랜섬노트 파일을 실행시킨다. 랜섬노트에는 파일 복구를 조건으로 3일 이내 0.3 비트코인 지불을 요구하는 내용이 담겨있다.


[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용





4. 결론

이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루를 통해 네트워크 전파를 시도한다. 네트워크를 통한 추가 감염으로 피해의 규모가 커질 수 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면




Posted by nProtect & TACHYON

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 


1. 개요 


최근 취약점 등을 이용해 유포되던 ‘GandCrab Ransomware’가 버전업 되어 악성 메일로 유포 되고 있어 사용자들의 주의를 요한다. 사용자의 실행을 유도하는 악성 메일로 활발히 유포가 되고 있는 ‘GandCrab Ransomware’를 이번 보고서에서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

41,472bytes

진단명

Ransom/W32.GandCrab.208904

악성동작

파일 암호화





2-2. 유포 경로

기존 GandCrab 랜섬웨어 2.0와 유사하게 악성 메일로 유포되고 있으며, ‘=지원서=’, ‘입사지원서’ 라는 제목으로 유포되어 첨부파일 실행을 유도한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포




압축된 첨부파일에는 문서 파일과 그림파일로 위장하는 LNK파일이 있으며, 해당 LNK 파일을 실행 시 ‘James.exe’라는 악성 파일이 실행된다. 해당 파일은 숨김 속성으로 되어 있다.


[그림 2] 이메일 첨부파일[그림 2] 이메일 첨부파일





2-3. 실행 과정

해당 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에는 ‘.CRAB’ 라는 확장자를 덧붙인다. 또한 암호화 된 폴더에 ‘CRAB-DECRYPT.txt’이라는 랜섬노트를 생성한다. 아래와 같이 ‘CRAB-DECRYPT.txt’에서 버전이 v2.1로 바뀐 것을 확인 할 수 있다.


[그림 3] GandCrab v2.1랜섬노트 (txt파일)[그림 3] GandCrab v2.1랜섬노트 (txt파일)




생성된 텍스트 파일의 내용중 Tor 웹 브라우저를 이용하여 개인 ID로 구성된 특성 URL 주소로 접속을 안내한다. 연결된 지불 페이지에서 암호 화폐인DASH와 Bitcoin을 요구하고 있으며, 정해진 기간이 경과 할 시 2배의 가격을 요구한다.


[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)



[그림 5] 기간 경과 시 2배의 가격 요구[그림 5] 기간 경과 시 2배의 가격 요구






3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 2.0 버전과 마찬가지로 아래 [표 1]와 같이 종료 대상 프로세스를 비교하며, 사용자의 PC에서 해당 프로세스가 실행되고 있을 시 종료 한다. 


 

구분

내용

종료 대상 프로세스 목록

‘msftesql.exe’, ‘sqlagent.exe’, ‘sqlbrowser.exe’, ‘sqlservr.exe’, ‘sqlwriter.exe’, oracle.exe’, ocssd.exe’, dbsnmp.exe’, synctime.exe’, mydesktopqos.exe’, agntsvc.exeisqlplussvc.exe’, xfssvccon.exe’, mydesktopservice.exe’, ocautoupds.exe’, agntsvc.exeagntsvc.exe’, agntsvc.exeencsvc.exe’, firefoxconfig.exe’, tbirdconfig.exe’, ocomm.exe’, mysqld.exe’, dbeng50.exe’, sqbcoreservice.exe’, excel.exe’, infopath.exe’, msaccess.exe’, mspub.exe’, onenote.exe’, outlook.exe’, powerpnt.exe’, steam.exe’, sqlservr.exe’, thebat.exe’, thebat64.exe’, thunderbird.exe’, visio.exe’, winword.exe’, wordpad.exe’, mysqld-nt.exe’, mysqld-opt.exe’

[1] 종료 대상 프로세스 목록





3-2. 자동 실행 레지스트리 등록

해당 랜섬웨어 실행 시 ‘C:\Users\[사용자 계정\AppData\Roaming\Microsoft 하위에 [임의의 파일명.exe]’로 자신을 복제하며, 재부팅 시에도 자동 실행이 되기 위해 레지스트리에 등록한다.


[그림 6] 자동 실행 레지스트리 등록[그림 6] 자동 실행 레지스트리 등록






3-3. 화이트 리스트 목록

해당 랜섬웨어는 파일 암호화 시 암호화를 제외하는 화이트 리스트가 존재한다. 아래와 같은 경로 및 파일명 그리고 특정 확장자는 암호화에서 제외한다. 해당 목록은 기존 버전과 동일하다. 

 

구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[2] 화이트리스트 목록





3-4. 이동식 드라이브 감염

해당 랜섬웨어는 이동식 드라이브를 검색하여 감염 동작을 수행한다.


[그림 7] 이동식 드라이브 감염[그림 7] 이동식 드라이브 감염






3-5. 암호화 완료 시 재부팅

해당 랜섬웨어는 파일 암호화가 완료된 뒤 시스템을 강제종료 하고 재부팅 한다. 


[그림 8] 암호화 완료 시 재부팅[그림 8] 암호화 완료 시 재부팅






4. 결론

최근 'GandCrab Ransomware' 는 2.0 버전이 유포 된지 얼마 되지 않아 2.1로 버전업 되어 악성 메일로 활발히 유포 되고 있다. 활발히 유포 되고 있는 만큼 랜섬웨어의 피해를 최소한으로 예방하기 위해 수신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장


1. 개요 


일반적으로 랜섬웨어는 사용자의 PC에 저장되어 있는 파일들을 암호화하여 인질로 삼고 이를 복구하기 위한 방법으로 


금전을 요구하는 반면, 최근 금전이 아닌 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG 랜섬웨어’가 등장하였다. 


이는 ‘련선웨어 (Rensenware)’ 와 같이 특정 게임을 일정 시간 동안 플레이하면 파일을 복구해주는 ‘Joke’ 형태의 랜섬웨어 이다.  ‘Joke’형태의 랜섬웨어 일지라도 사용자들에게 불편을 줄 수 있기 때문에 주의가 필요하다.


이번 보고서에서는 ‘PUBG Ransomware’에 대하여 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PUBG_Ransomware.exe

파일크기

41,472bytes

진단명

Ransom/W32.PUBG.41472

악성동작

파일 암호화, 특정 게임 실행 요구






2-2. 유포 경로

해당 랜섬웨어는 ‘Joke’ 형태의 랜섬웨어로 실행 파일의 정확한 유포 경로는 밝혀지지 않았다.






2-3. 실행 과정

‘PUBG Ransomware’ 가 실행되면 사용자 PC에 있는 파일을 대상으로 암호화 동작을 수행한다. 암호화가 진행된 후 사용자의 바탕화면은 아래 [그림 1] 과 같이 랜섬노트가 출력되는 것을 확인할 수 있다.


랜섬노트의 내용은 다음과 같이 ‘PUBG (Player Unknown’ s Battleground)’ 라는 게임을 일정 시간 동안 플레이하거나 랜섬노트에 같이 작성되어 있는 복구 코드를 입력해야 원본 파일로 복구 할 수 있다는 내용을 포함하고 있다. 


[그림 1] PUBG랜섬노트[그림 1] PUBG랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 사용자 계정의 ‘Desktop’ 하위의 파일만 대상으로 하며, 아래 [표 1] 과 같이 대상이 되는 파일을 찾아 AES-256 알고리즘을 이용하여 암호화를 진행한다. 또한 암호화가 완료되면 원본 확장자 뒤에 ‘.PUBG’ 라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



 

구분

내용

암호화 대상 파일

확장자

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip, .txt, .png, .contact, .sln, .c, .cpp, .cs, .vb, .vegas, .uproject, .egg

[표 1] 암호화 대상 파일 확장자




3-2. 파일 복호화

‘PUBG Ransomware’ 는 암호화 된 파일에 대해서 복호화를 진행할 수 있다. 해당 랜섬웨어에 의해 암호화 된 파일은 특정 게임을 플레이 해야 하는데 아래와 같이 게임에 사용되는 일부 프로세스를 모니터링 하여 체크 한다. 랜섬노트에 표기된1시간 까지 플레이 할 필요없이 3초 이상 실행시키면 암호화된 파일들을 복호화 하도록 되어 있다.


[그림 3] 특정 프로세스 모니터링[그림 3] 특정 프로세스 모니터링




복호화가 끝나면 아래와 같은 알림창을 띄운 후 자동종료 된다.


[그림 4] 복호화 알림[그림 4] 복호화 알림




또한, 랜섬노트에 적혀있는 [표 2]의 복구 코드를 입력 해도 복호화가 가능하다. 복구 코드는 아래와 같다. 

 

구분

내용

복구 코드

s2acxx56a2sae5fjh5k2gb5s2e

[2] 복구 코드




위에서 설명한 두 가지 방법으로 복호화가 완료 된 것을 확인 할 수 있다. 


[그림 5] 복호화 된 파일[그림 5] 복호화 된 파일






4. 결론

사용자의 파일을 암호화 후 금전 목적이 아닌, 특정한 게임을 플레이 해야 복호화 해주는 ‘Joke’ 형태의 랜섬웨어의 등장이 이번이 처음은 아니다. 해당 PUBG 랜섬웨어는 특정 프로세스를 모니터링해 복호화를 진행하지만 실제로 해당 게임을 플레이 할 필요없이 다른 실행파일의 이름을 ‘TslGame.exe’로 바꾸고 실행하여도 해당 랜섬웨어는 복호화를 진행한다. 

이렇듯 ‘Joke’ 형태의 랜섬웨어는 정교하게 만들어지지 않았지만 사용자의 파일을 암호화하기 때문에 악용될 소지가 있어 항상 주의를 기울여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON

Paradise 랜섬웨어 주의


1. 개요 


다양한 악성코드 중에서도 랜섬웨어의 경우, 하나의 코드에서 파생되어 다양한 변종들이 생성됐을 만큼 많은 비중을 차지하고 있다.


과거에도 사용자의 파일을 사용하지 못하게 만드는 악성코드는 다수 존재했지만, 거래내역을 추적 당할 위험이 높아 쉽게 금전을 요구하지 못했을 것으로 추측된다. 


최근 몇 년 사이에 가상화폐나 Tor-브라우저 등의 거래 추적이 어렵다는 특징을 악용한 사이버 범죄가 기승을 부리고 있다. 이러한 문제가 해결되기 전까지 랜섬웨어와 같은 악성코드도 끊임없이 등장할 것이다.


이번 보고서에서는 사용자의 파일을 암호화 하는 'Paradise 랜섬웨어' 에 대해서 알아보자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

DP_Main.exe

파일크기

36,864 byte

악성동작

파일 암호화






2-2. 유포 경로

'Paradise ransomware' 의 정확한 유포 경로는 밝혀지지 않았으나, 스팸메일의 첨부파일을 통해서 유포되었을 것으로 추정된다.





2-3. 실행 과정

해당 랜섬웨어 실행 시 자신의 복사본을 생성하여 자동시작되도록 등록한다. 

암호화를 하기 전에 커맨드 프롬프트를 이용하여 특정 인자 값을 통해서 볼륨 쉐도우 서비스를 사용하지 못하도록 한다.


이후 드라이브 하위에서 폴더들을 검색하여 공격자가 지정해 놓은 특정 폴더들에 대해서는 암호화를 진행하지 않으며, 그 외에 폴더를 발견할 경우 폴더 내의 파일들을 탐색하여 모든 파일을 암호화 한다.


암호화 완료 후 암호화한 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 특정 서버로 보내려는 코드가 존재한다.


위와 같은 모든 동작이 끝난 뒤, 해당 랜섬웨어는 암호화 동작을 할 때 생성했던 랜섬노트를 실행시켜 아래 [그림 1] 과 같이 암호화 사실을 알리고 복호화 방법에 대해 설명한다.


[그림 1] 랜섬노트







3. 악성 동작


3-1. 자동 시작 등록

악성 파일은 자기 자신을 복사하여 [그림 2] 와 같은 경로에 생성하고, 어떤 상황이 발생하더라도 재감염 시킬 수 있도록 자동시작 레지스트리값에 복사본을 등록하여 윈도우 재부팅 시에도 동작할 수 있도록 한다.


[그림 2] 복사본 생성[그림 2] 복사본 생성




[그림 3] 자동시작 레지스트리 등록[그림 3] 자동시작 레지스트리 등록






3-2. 볼륨 쉐도우 삭제

암호화를 진행하기 전, 사용자가 복원 기능을 수행하지 못하게 하도록 Volume Shadow Copy Service (VSS) 를 삭제한다.


[그림 4] 복원 서비스 삭제[그림 4] 복원 서비스 삭제





3-3. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화는 탐색 중인 드라이브 하위에서 아래와 같이 공격자가 지정해 놓은 특정 폴더를 제외하고 모든 파일을 암호화한다.


[그림 5] 제외 폴더 목록[그림 5] 제외 폴더 목록




암호화를 끝마친 파일의 경우 아래와 같은 형태로 [원본파일명] + [ID] + [이메일주소].paradise 로 파일명을 변경하여 저장된다.


[그림 6] 암호화 된 파일[그림 6] 암호화 된 파일






3-4. 정보 전송

모든 작업을 끝마친 랜섬웨어는 지정한 서버로 암호화 시킨 파일의 숫자와 컴퓨터 이름, 암호화에 걸린 시간, 복호화에 필요한 정보, 피해자를 식별하기 위한 ID 를 전송하는 코드가 존재하지만 지정해둔 특정 서버가 localhost 로 설정되어 있어 정보가 전송되지 않는다.

현재는 사용하지 않는 기능이거나 프로그램을 제작하는데 있어서 잘못 제작된 것으로 추정해볼 수 있다.


[그림 7] 정보 전송 코드[그림 7] 정보 전송 코드







4. 결론

이번 보고서에서 알아본 'Paradise Ransomware' 는 다른 랜섬웨어들에 비해서 많은 피해 사례가 발생하지는 않았지만 사용자의 PC 에 있는 파일들을 암호화 하기 때문에 가볍게 생각할 수 없다. 

대부분의 랜섬웨어의 경우, 복호화가 거의 불가능하기 때문에 크게 이슈가 되지 않은 랜섬웨어라도 사용자의 각별한 주의가 필요하다.

신뢰할 수 없는 사이트에서 다운받는 파일이나 메일의 첨부파일 등을 실행할 때 주의를 기울이고 사용하는 백신이나 OS 를 항상 최신버전으로 업데이트 하여 사용해야 한다.

nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화 하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON

Zenis 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 제니스(Zenis) 랜섬웨어는 특정 조건의 파일을 암호화하거나 삭제한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화한 파일은 ‘Zenis-[임의의 값].[임의의 값]’으로 파일명을 변경한다. 특히 삭제 대상의 파일을 삭제 전 3번에 걸쳐 다른 값으로 덮어씀으로써 파일 복구를 어렵게 한다.


이번 보고서에는 제니스 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

iis_agent32.exe

파일크기

147,968byte

악성동작

파일 암호화






2-2. 동작 방식

제니스 랜섬웨어는 몇가지 특정 조건에 부합했을 때 랜섬웨어 동작을 수행한다. 그 조건으로 자기 자신의 파일명이 ‘iis_agent32.exe’와 일치해야 하고 동시에 레지스트리 값 HKEY_CURRENT_USER\SOFTWARE\ZenisService\Active가 존재하지 않아야 한다. 이는 중복 실행이나 중복 암호화로 인한 문제를 방지하기 위한 것으로 보인다. 아래 그림은 해당 조건을 확인하는 코드이다.


[그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인 [그림 1] 중복 실행을 방지하기 위한 파일명 및 레지스트리 값 확인






3. 악성 동작


3-1. 시스템 복원 무력화 및 로그 삭제

위 조건에 충족하여 정상적으로 동작을 수행하게 되면 랜섬노트에 사용할 문구에 연락 이메일 주소를 삽입하여 내용을 완성시킨다. 이후 ‘cmd.exe’를 통해 아래 [표1]과 같은 명령어를 실행시키는데 이는 시스템 복원을 무력화하고 이벤트 로그를 삭제하는 기능을 수행한다.


[그림 2] 랜섬노트 문구를 완성시키는 코드[그림 2] 랜섬노트 문구를 완성시키는 코드


 

명령어

기능

 

vssadmin.exe delete shadows /all /Quiet

볼륨 쉐도우 복사본 삭제

 

WMIC.exe shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

Bcdedit.exe /set {default} recoveryenabled no

복구 모드 사용 안함

 

wevtutil.exe cl Application

응용 프로그램 이벤트 로그 삭제

 

wevtutil.exe cl Security

보안 이벤트 로그 삭제

 

wevtutil.exe cl System

시스템 이벤트 로그 삭제

[표 1] 명령어를 통한 시스템 복원 무력화 및 이벤트 로그 삭제





3-2. 프로세스 종료

현재 시스템상의 프로세스 이름을 대상으로 아래와 같은 지정된 문자열이 포함되거나 일치할 경우 프로세스를 강제로    종료시킨다.


 

구분

내용

대상 문자열

sql

taskmgr

regedit

backup

[2] 강제 종료 대상의 문자열 목록




3-3. 파일 암호화 및 삭제

이후 지정된 확장자 파일을 대상으로 암호화나 삭제를 진행하는데 파일의 크기가 1024byte 이상이면서 1024000000byte 이하인 파일을 대상으로 한다. 암호화된 파일의 이름은 ‘Zenis-[2byte의 임의의 값].[12byte의 임의의 값]’으로 변경되고 파일 삭제 시 3번의 덮어쓰기 과정을 거쳐 삭제하기 때문에 파일 복원을 어렵게 한다. 

 

구분

내용

암호화 대상 확장자

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa.apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

[표 3] 암호화 대상 확장자 목록




[그림 3] 암호화된 파일[그림 3] 암호화된 파일




 

구분

내용

삭제 대상 확장자

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

[표 4] 삭제 대상 확장자 목록




또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

Windows, Program Files, ProgramData, PerfLogs, $Recycle.Bin, Microsoft, Microsoft Help, Microsoft App, Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone, Silverlight Kits, Temp, Windows Photo Viewer, Windows Protable Devices, Windows Slidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, Public

[표 5] 화이트 리스트 폴더 문자열




암호화된 폴더에는 ‘Zenis-Instructions.html’라는 이름으로 아래와 같은 랜섬노트를 하나씩 생성한다.


[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용[그림 4] 랜섬노트 ‘Zenis-Instructions.html’의 내용






4. 결론

이번 제니스 랜섬웨어는 파일 암호화뿐만 아니라 특정 확장자 파일을 삭제함으로써 파일 복구에 어려움을 주고 있다.    랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 









Posted by nProtect & TACHYON

2018년 3월 악성코드 통계




악성코드 Top20

2018년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 66,773건이 탐지되었다. 


순위

진단명

유형

탐지 건수

1

Backdoor/W32.Orcus.9216

Backdoor

66,773

2

Suspicious/X97M.Obfus.Gen

Suspicious

28,881

3

Suspicious/W32.CVE-2016-3266

Suspicious

12,222

4

Gen:Variant.Razy.219955

Trojan

11,304

5

Worm/W32.Moonlight.32768

Worm

9,274

6

Backdoor/W32.Androm.1540544

Backdoor

8,361

7

Virus/W32.Ramnit.B

Virus

8,185

8

Trojan/W32.BitCoinMiner.1578496

Trojan

7,151

9

Trojan-Spy/W32.SpyEyes.2270504

Trojan

6,609

10

Trojan/W32.Agent.3584.MQ

Trojan

6,370

11

Gen:Variant.Johnnie.1840

Trojan

5,945

12

Virus/W32.Ramnit

Virus

5,223

13

Gen:Variant.Razy.109208

Trojan

4,524

14

Gen:Variant.Razy.261994

Trojan

4,480

15

Trojan/W32.Agent.100864.ZY

Trojan

4,375건  

16

Suspicious/SWF.CVE-2017-3081

Exploit

4,305건  

17

Trojan.GenericKD.3498132

Trojan

3,646건  

18

Trojan/XF.Sic

Trojan

2,857건  

19

Trojan/W32.Agent.534016.BS

Trojan

2,806건  

20

Trojan/W32.Agent.1981528

Trojan

2,728건  

[] 20183월 악성코드 탐지 Top 20










악성코드 유형 비율

3월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 46%로 가장 높은 비중을 차지하였고, Adware(애드웨어)와 Suspicious(셔스피셔스)가 각각 23%와 12%, Backdoor(백도어)와 Downloader(다운로더)가 각각 6%, 4%씩으로 그 뒤를 따랐다.


[그림] 2018년 3월 악성코드 유형 비율[그림] 2018년 3월 악성코드 유형 비율













악성코드 진단 수 전월 비교

3월에는 악성코드 유형별로 2월과 비교하였을 때 Suspicious와 Virus를 제외한 대부분의 진단 수가 감소하였다.


[그림] 2018년 3월 악성코드 진단 수 전월 비교[그림] 2018년 3월 악성코드 진단 수 전월 비교













주 단위 악성코드 진단 현황

3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 2월에 비해 감소한 추이를 보이고 있다.


[그림] 2018년 3월 주 단위 악성코드 진단 현황[그림] 2018년 3월 주 단위 악성코드 진단 현황











Posted by nProtect & TACHYON

잉카인터넷, EDR기반 브랜드 TACHYON 홈페이지 정식 오픈


EDR기반 브랜드 TACHYON 홈페이지 정식 오픈EDR기반 브랜드 TACHYON 홈페이지 정식 오픈




엔드포인트 보안 전문기업 ㈜ 잉카인터넷(대표 주영흠)이 EDR 기술 기반의 ‘TACHYON’ 제품을 확인할 수 있는 ‘TACHYON’ 홈페이지(tachyonlab.com)를 정식 오픈했다.


이번에 정식 오픈한 홈페이지는 ‘TACHYON’ 브랜드의 다양한 보안 제품을 한눈에 알아볼 수 있도록 하였다. 또한, 누구나 쉽고 빠르게 제품을 찾을 수 있도록 구성되어 있다.


메인페이지 상단 디자인은 ‘TACHYON’ 주력 제품 4가지 ▲개인 PC용 안티멀웨어 TACHYON Internet Security 5.0 ▲기업 엔드포인트 보안 TACHYON Endpoint Security 5.0 ▲실시간 모니터링 및 대응이 가능한 중앙관리 솔루션 TACHYON Policy Manager 3.0 ▲악성코드 탐지 및 치료가 가능한 SDK 방식의 솔루션 TACHYON Core Suite 1.0을 눈에 띄게 배치하였다.


메뉴를 살펴보면 개인용과 기업용으로 제품을 크게 분류해, 용도와 상황에 따라 엔드포인트 보안, 서버 보안으로 나눠 제품 가이드, 소개 페이지, 브로슈어, 제품 문의/리셀러 찾기를 제공한다.


해당 홈페이지에서는 글로벌 시장 전개와 글로벌 고객 접점 채널로 활용하기 위해 영문 홈페이지를 제공하고 있다. 아울러, 일본어, 중국어 등 다국어 홈페이지를 지원할 예정이다.


또한, 고객이 믿을 수 있는 제품을 구매할 수 있도록 ‘TACHYON’ 보안 솔루션의 인증현황을 공개하였다. 국내 우수 품질 소프트웨어에 부여되는 GS인증, 바이러스 블러틴(Virus Bulletin)에서 부여하는 국제 안티바이러스 인증 ‘VB100’ 현황을 통해 국내외로 인정받은 잉카인터넷 ‘TACHYON’의 기술력과 안정성을 보장하고 있다.


이외에도 스마트폰, 태블릿 PC 등 모바일 기기에서도 정보보안 정보를 쉽고 빠르게 찾을 수 있도록 모바일 전용 웹사이트(m.tachyonlab.com)도 함께 제공한다.

잉카인터넷은 “TACHYON의 제품 홈페이지가 정식 오픈이 되어 홈페이지를 방문하는 고객들에게 TACHYON의 정보보안 기술력 및 제품 정보를 쉽게 파악하길 기대한다.”라고 덧붙였다.


‘TACHYON’의 자세한 정보는 공식 오픈된 홈페이지 tachyonlab.com에 접속하면 확인할 수 있다.

Posted by nProtect & TACHYON